JP2019102023A - System and method - Google Patents
System and method Download PDFInfo
- Publication number
- JP2019102023A JP2019102023A JP2017235894A JP2017235894A JP2019102023A JP 2019102023 A JP2019102023 A JP 2019102023A JP 2017235894 A JP2017235894 A JP 2017235894A JP 2017235894 A JP2017235894 A JP 2017235894A JP 2019102023 A JP2019102023 A JP 2019102023A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information processing
- logs
- information
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本開示は、システム及び方法に関し、特にセキュリティ監視のためのシステム及び方法に関する。 The present disclosure relates to systems and methods, and more particularly to systems and methods for security monitoring.
近年、自動車等の移動体では、アクセル、ハンドル、ブレーキなどのアクチュエータを電子制御可能な複数の情報処理装置が移動体ネットワークに繋がりつつある。また、このような移動体では、3Gデータ通信など外部接続が可能になってきている。 In recent years, in mobile bodies such as automobiles, a plurality of information processing apparatuses capable of electronically controlling actuators such as an accelerator, a steering wheel, and a brake are connected to a mobile body network. Moreover, in such a mobile unit, external connection such as 3G data communication has become possible.
このため、外部接続を行うインターフェースを侵入口として、移動体の制御を行うなど、移動体がハッカーの攻撃対象となるおそれが生じている。 For this reason, there is a possibility that the moving object may be an attack target of a hacker, such as controlling the moving object with an interface for external connection as an intrusion port.
それに対して、車載ネットワーク内の通信ログ等のイベントログを収集する技術がある(例えば特許文献1参照)。そして、収集したイベントログを解析者に情報提示することで、それらを基に脅威となる事象を把握するセキュリティシステムが考えられている(SIEM:Security Information and Event Management)。 On the other hand, there is a technique for collecting event logs such as communication logs in an in-vehicle network (for example, see Patent Document 1). Then, by presenting information collected to the event log to an analyst, there is considered a security system for grasping a threat event based on them (SIEM: Security Information and Event Management).
しかしながら、収集されたイベントログ単体では、解析者は、移動体および当該移動体に準じる物体に対するハッカーの攻撃であるか、単なる装置の故障であるか、ユーザの誤操作であるかを判断することができないという問題がある。 However, with the collected event log alone, the analyst may determine whether it is a hacker attack on the moving object and the object conforming to the moving object, a mere failure of the device, or an erroneous operation of the user. There is a problem that it can not do.
本開示は、上述の事情を鑑みてなされたもので、複数の情報処理装置を有する物体の情報処理装置への攻撃を監視することができるセキュリティ監視のためのシステム及び方法を提供する。 The present disclosure has been made in view of the above-described circumstances, and provides a system and method for security monitoring capable of monitoring an attack on an information processing device of an object having a plurality of information processing devices.
上記目的を達成するために、本開示発明の一態様に係るシステムは、第1ネットワークで接続された複数の情報処理装置を有する1以上の物体の情報処理装置に対する攻撃を監視するセキュリティ監視のためのシステムであって、第1ネットワークとは異なる第2ネットワークを介して前記1以上の物体それぞれから取得されることにより、前記1以上の物体が有する複数の情報処理装置それぞれで発生したログを記憶する第1記憶装置と、前記1以上の物体が有する複数の情報処理装置それぞれに対する攻撃を判定するために用いられる解析支援情報であって前記複数の情報処理装置それぞれに関する解析支援情報を記憶している第2記憶装置と、前記第1記憶装置が記憶する一の物体についての2以上のログと、前記第2記憶装置が記憶する解析支援情報であって前記一の物体が有する複数の情報処理装置に関する解析支援情報とを対照することで、前記2以上のログそれぞれが、前記2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定し、判定結果を出力する攻撃判定装置とを備える。 In order to achieve the above object, a system according to an aspect of the present invention is a security monitoring system for monitoring an attack on an information processing device of one or more objects having a plurality of information processing devices connected by a first network. A log generated by each of a plurality of information processing apparatuses possessed by the one or more objects by being obtained from each of the one or more objects via a second network different from the first network. Storing analysis support information related to each of the plurality of information processing apparatuses, which is analysis support information used to determine an attack on each of the plurality of information processing apparatuses included in the one or more objects; A second storage device, two or more logs of an object stored by the first storage device, and the second storage device Information supporting apparatus corresponding to each of the two or more logs by comparing the analysis supporting information corresponding to the plurality of information processing apparatuses included in the one object. And an attack determination device that outputs a determination result.
この構成によれば、一つの物体が有する複数の情報処理装置を経由する攻撃を受けたか否かを判定することができるので、複数の情報処理装置を有する物体の情報処理装置への攻撃を監視することができる。 According to this configuration, it is possible to determine whether or not an attack has been made via a plurality of information processing devices included in one object, so monitoring attacks on an information processing device of an object having a plurality of information processing devices can do.
ここで、例えば、前記解析支援情報は、前記複数の情報処理装置それぞれに関する設計情報を少なくとも含む。 Here, for example, the analysis support information at least includes design information on each of the plurality of information processing apparatuses.
また、例えば、前記解析支援情報は、さらに、前記1以上の物体それぞれの仕様および前記1以上の物体それぞれの状態を含むとしてもよい。 Also, for example, the analysis support information may further include specifications of each of the one or more objects and a state of each of the one or more objects.
また、例えば、前記解析支援情報は、前記2以上のログそれぞれに記載される事象の発生条件と、当該発生条件が正しいか否かを識別するための条件を示す判断情報とで構成されるとしてもよい。 Also, for example, the analysis support information is configured to include an occurrence condition of an event described in each of the two or more logs and determination information indicating a condition for identifying whether the occurrence condition is correct or not. It is also good.
また、例えば、前記攻撃判定装置は、前記2以上のログそれぞれから、前記判断情報に示される条件を満たすか否かを判断するための情報を抽出し、前記判断情報と対照することで、前記攻撃であるか否かを判定するとしてもよい。 Also, for example, the attack determination device extracts information for determining whether or not the condition indicated in the determination information is satisfied from each of the two or more logs, and contrasts with the determination information. It may be determined whether it is an attack.
また、例えば、前記攻撃判定装置は、前記2以上のログそれぞれから特徴を抽出し、抽出した前記特徴の統計情報を前記判断するための情報とすることで、前記2以上のログそれぞれから、当該情報を抽出するとしてもよい。 Also, for example, the attack determination device extracts a feature from each of the two or more logs, and uses the extracted statistical information of the feature as the information to make the determination, so that each of the two or more logs Information may be extracted.
また、例えば、前記攻撃判定装置は、前記第2記憶装置が記憶する解析支援情報から、前記2以上のログのそれぞれに対応する情報処理装置についての解析支援情報を抽出し、前記2以上のログと、抽出した前記解析支援情報とを対照することで、前記2以上のログそれぞれに示される事象が、前記対応する情報処理装置において設計上発生する事象かどうかに応じて、前記2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定するとしてもよい。 Also, for example, the attack determination apparatus extracts analysis support information on an information processing apparatus corresponding to each of the two or more logs from the analysis support information stored in the second storage device, and the two or more logs And the extracted analysis support information, the two or more logs are displayed depending on whether the event indicated in each of the two or more logs is an event that occurs in design in the corresponding information processing apparatus. It may be determined whether it is an attack on the information processing apparatus corresponding to each of the above.
また、例えば、前記攻撃判定装置は、前記2以上のログのうちの1以上のログが、当該1以上のログに対応する情報処理装置に対する攻撃であることを判定した場合、前記2以上のログのうちの少なくとも一のログが当該少なくとも一のログに対応する情報処理装置に対する攻撃であることを判定できないときには、当該少なくとも一のログが、当該少なくとも一のログに対応する情報処理装置に対する攻撃であると推定するとしてもよい。 Also, for example, when the attack determination device determines that one or more of the two or more logs is an attack on an information processing device corresponding to the one or more logs, the two or more logs If it can not be determined that at least one of the logs is an attack on the information processing apparatus corresponding to the at least one log, the at least one log is an attack on the information processing apparatus corresponding to the at least one log. It may be estimated that there is.
また、例えば、さらに、前記攻撃判定装置により、前記2以上のログそれぞれが、前記2以上のログのそれぞれに対応する情報処理装置に対する攻撃であると判定された場合、判定された攻撃内容と、前記2以上のログそれぞれが発生した時刻とを、前記2以上のログに対応する位置に表示する表示画面である攻撃シナリオ表示画面を生成する攻撃シナリオ表示生成装置とを備え、前記攻撃シナリオ表示生成装置は、ディスプレイに生成した攻撃シナリオ表示画面を出力するとしてもよい。 Also, for example, when the attack determination device determines that each of the two or more logs is an attack on an information processing device corresponding to each of the two or more logs, the determined attack content; An attack scenario display generation device for generating an attack scenario display screen which is a display screen for displaying the time at which each of the two or more logs is generated at a position corresponding to the two or more logs; The device may output the generated attack scenario display screen on the display.
また、例えば、前記攻撃シナリオ表示生成装置は、前記攻撃シナリオ表示画面として、前記判定された攻撃内容と、前記2以上のログそれぞれが発生した時刻とを、前記一の物体が有する前記第1ネットワークで接続された前記複数の情報処理装置を示す物体ネットワーク構成図のうち対応する情報処理装置の位置に対応づけた表示画面を出力するとしてもよい。 Also, for example, the attack scenario display generation device may set, as the attack scenario display screen, the first network in which the one object has the determined attack content and the time at which each of the two or more logs is generated. The display screen associated with the position of the corresponding information processing device may be output from the object network configuration diagram showing the plurality of information processing devices connected in step b.
また、例えば、前記攻撃シナリオ表示生成装置は、前記攻撃シナリオ表示画面として、前記判定された攻撃内容と、前記2以上のログのそれぞれに対応する情報処理装置とを、前記2以上のログのそれぞれが発生した時刻ごとに時系列で表示した表示画面を出力するとしてもよい。 Also, for example, the attack scenario display generation device may use the determined attack content and an information processing device corresponding to each of the two or more logs as the attack scenario display screen, respectively, for each of the two or more logs. The display screen displayed in chronological order may be output for each time when the event occurs.
また、例えば、さらに、前記1以上の物体を備え、前記攻撃判定装置と前記1以上の物体とは、前記第2ネットワークで接続されているとしてもよい。 Furthermore, for example, the attack determination device and the one or more objects may be further connected by the second network.
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なCD−ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。 Note that these general or specific aspects may be realized by a system, a method, an integrated circuit, a computer program, or a recording medium such as a computer readable CD-ROM, and the system, the method, the integrated circuit, the computer It may be realized by any combination of program and recording medium.
本開示のシステム及び方法によれば、複数の情報処理装置を有する物体の情報処理装置への攻撃を監視することができる。 According to the system and method of the present disclosure, an attack on an information processing device of an object having a plurality of information processing devices can be monitored.
以下、本開示の実施の形態について、図面を参照して詳細に説明する。なお、以下に説明する実施の形態は一例であり、本開示はこれらの実施の形態により限定されるものではない。つまり、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。 Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. Note that the embodiments described below are merely examples, and the present disclosure is not limited by these embodiments. That is, all the embodiments described below show general or specific examples. Numerical values, shapes, materials, components, arrangement positions and connection forms of components, steps, order of steps, and the like shown in the following embodiments are merely examples, and are not intended to limit the present disclosure. Further, among the components in the following embodiments, components not described in the independent claim indicating the highest concept are described as arbitrary components.
また、各図は、模式図であり、必ずしも厳密に図示されたものではない。また、各図において、同じ構成部材については同じ符号を付している。 Further, each drawing is a schematic view, and is not necessarily illustrated exactly. Moreover, in each figure, the same code | symbol is attached | subjected about the same structural member.
(実施の形態)
[システム1]
図1は、本実施の形態に係るシステム1の概要を示す図である。図2は、本実施の形態に係るシステム1の機能構成の一例を示す図である。
Embodiment
[System 1]
FIG. 1 is a diagram showing an outline of a system 1 according to the present embodiment. FIG. 2 is a diagram showing an example of a functional configuration of the system 1 according to the present embodiment.
本実施の形態に係るシステム1は、第1ネットワークで接続された複数の情報処理装置を有する1以上の物体の情報処理装置に対する攻撃を監視するセキュリティ監視のためのシステムである。 A system 1 according to the present embodiment is a system for security monitoring that monitors an attack on an information processing device of one or more objects having a plurality of information processing devices connected by a first network.
システム1は、例えば図1および図2に示すように、セキュリティ監視システム10と、1以上の移動体(移動体110、120)とを備える。セキュリティ監視システム10および1以上の移動体とは、ネットワーク20で接続されている。
The system 1 includes a
[ネットワーク20]
ネットワーク20は、第2ネットワークの一例であり、例えばインターネットなどの公衆網である。また、ネットワーク20は、通信事業者の公衆回線を経由して構築された仮想的な組織内ネットワークであるVPN(Virtual Private Network)であってもよい。
[Network 20]
The
[移動体110]
1以上の移動体はいずれも同様の構成である。そのため、以下では、移動体110の構成について説明する。
[Mobile 110]
One or more mobile units have the same configuration. Therefore, the configuration of the
図3Aは、本実施の形態に係る移動体110の機能構成の一例を示す図である。図3Bは、図3Aに示す移動体110の一態様を示す図である。図3Bには、移動体110の一態様として、自動車110aが示されている。図4Aおよび図4Bは、本実施の形態に係る移動体110が送信するログ(移動体ログ)の一例を示す図である。
FIG. 3A is a diagram showing an example of a functional configuration of the
移動体110は、第1ネットワークで接続された複数の情報処理装置を有する。移動体110は、例えば図2に示すように、情報処理装置111と、情報処理装置112と、情報処理装置113とを備え、これらはネットワーク114で接続されている。
The
移動体110は、例えば図3Bに示すように、IVI111aと、GW112aと、CAN113aと、CAN113aに接続されている電子制御ユニットであるECU1131a、1132aとなどの複数の情報処理装置が接続された自動車110aである。
For example, as shown in FIG. 3B, the
なお、本実施の形態における移動体110は、自動車に限らず、船舶、飛行機等の車両、ドローンなどであってもよい。すなわち、本実施の形態における移動体110は、インターネットなどのネットワークに接続可能であり、移動体110が有する複数の情報処理装置の構成等が設計上分かるものであればよい。
また、移動体110は、システム1のセキュリティ監視の対象となる1以上の物体の一例である。換言すると、本開示が対象とするのは移動体に限らず、移動体と同様の物体であってもよい。より具体的には、1以上の物体は、自動車等の移動体と同様に、インターネットなどのネットワークに接続可能であり、当該物体が有する複数の情報処理装置の構成等が設計上分かるものであればよい。
The
このような物体としては、例えば、産業ロボット、建設ロボットなど複数のアクチュエータを有しネットワークに接続可能なロボットが挙げられる。また、このような物体としては、複数のデジタル機器(TV、VIDEO、オーディオ機器等)がネットワークを介してつながり、かつインターネットなどのネットワークに接続可能な音響映像システムが挙げられる。また、このような物体としては、複数のPLC(Programmable Logic Controller)がネットワークを介してつながり、かつインターネットなどのネットワークに接続可能な工場システムが挙げられる。 Examples of such an object include robots that have a plurality of actuators, such as industrial robots and construction robots, and can be connected to a network. Further, as such an object, there is an audiovisual system in which a plurality of digital devices (TV, VIDEO, audio devices, etc.) are connected via a network and can be connected to a network such as the Internet. Further, as such an object, there is a factory system in which a plurality of PLCs (Programmable Logic Controllers) are connected via a network and can be connected to a network such as the Internet.
なお、以下では1以上の物体の一例として1以上の移動体を例に挙げて説明する。 In the following, as an example of one or more objects, one or more moving objects will be described as an example.
<ネットワーク114>
ネットワーク114は、第1ネットワークの一例であり、第2ネットワークであるネットワーク20とは異なる。ネットワーク114は、例えば図2および図3Aに示すように、情報処理装置111、情報処理装置112および情報処理装置113等がネットワークケーブルで接続されたものである。ネットワーク114は、移動体110内で発生したイベント(事象)に関する情報のやり取りを行う移動体110内のネットワークであり、以降では、移動体ネットワークとも称する。なお、図2および図3Aに示すネットワーク114の構成は一例であり、本構成に限定されるものではない。
<
The
ネットワーク114は、例えば図3Bに示すように、自動車110aの車載ネットワーク114aであってもよい。
The
<情報処理装置111>
情報処理装置111は、移動体110が有する複数の情報処理装置の一つである。情報処理装置111は、テレマティクスもしくはインターネットに接続できる機能、移動体110に搭乗する人への情報提供などの情報要素を実現する機能、移動体110に搭乗する人の娯楽要素を実現する機能を有する。また、情報処理装置111は、これらの機能を実現した際に当該情報処理装置111で発生したログを取得できる機能を有する。
<
The
情報処理装置111は、図3Aに示すように、例えばログ送信部1111を有し、当該情報処理装置111で発生したログ(移動体ログ)をログ送信部1111を介してセキュリティ監視システム10に送信する。より具体的には、ログ送信部1111は、当該情報処理装置111で発生したイベント(事象)の発生日時とそのイベント内容(事象の内容)を示す移動体ログ内容とを、当該情報処理装置111で発生した移動体ログとしてセキュリティ監視システム10に送信する。その際に、ログ送信部1111は、発生日時および移動体ログ内容を一意に識別するID(移動体ログID)と、移動体110を一意に識別するID(移動体ID)と、情報処理装置111を一意に識別するための名称(またはID)とを付与してセキュリティ監視システム10に送信する。
As shown in FIG. 3A, the
なお、移動体ログID、移動体IDおよび情報処理装置111を一意に識別するための名称(またはID)は、情報処理装置111により付与されなくてもよく、セキュリティ監視システム10側で付与してもよい。
The mobile log ID, the mobile ID, and the name (or ID) for uniquely identifying the
また、情報処理装置111は、例えば図3Bに示すように、自動車110aの車載インフォテインメントであるIVI111aであってもよい。IVI111aは、例えば、カーオーディオ、車載DVD、TVチューナーなどの娯楽要素を実現する機能、並びに、経路案内(カーナビゲーションシステム)および道路交通情報の表示などの情報要素を実現する機能を有する。さらに、IVI111aは、これらの機能を実行することで発生するイベント(事象)に関するログ(移動体ログ)をセキュリティ監視システム10に送信する。
Further, as shown in FIG. 3B, for example, the
<情報処理装置112>
情報処理装置112は、移動体110が有する複数の情報処理装置の一つである。情報処理装置112は、移動体110の外部との通信を行う機能を実現する機能、並びに、当該機能を実現した際に当該情報処理装置111で発生したログおよびネットワーク114を行き交うパケット等の移動体ネットワークログを取得できる機能を有する。
<
The
また、情報処理装置112は、本実施の形態では、図3Aに示すように、例えばログ送信部1121を有し、当該情報処理装置112で発生したログ(移動体ログ)をログ送信部1121を介してセキュリティ監視システム10に送信する。
Further, in the present embodiment, as shown in FIG. 3A, the
より具体的には、ログ送信部1121は、当該情報処理装置112で発生したイベント(事象)の発生日時とそのイベント内容(事象内容)を示す移動体ログ内容とを、当該情報処理装置112で発生した移動体ログとしてセキュリティ監視システム10に送信する。その際に、ログ送信部1121は、発生日時および移動体ログ内容を一意に識別するID(移動体ログID)と、移動体110を一意に識別するID(移動体ID)と、情報処理装置112を一意に識別するための名称(またはID)とを付与してセキュリティ監視システム10に送信する。移動体ログ内容には、移動体ネットワークログが含まれてもよい。
More specifically, the
なお、移動体ログID、移動体IDおよび情報処理装置111を一意に識別するための名称(またはID)は、情報処理装置112により付与されなくてもよく、セキュリティ監視システム10側で付与してもよい。
The mobile log ID, the mobile ID, and the name (or ID) for uniquely identifying the
また、情報処理装置112は、例えば図3Bに示すように、自動車110aにおいてCAN113aと外部との通信を行うためゲートウェイであるGW112aであってもよい。GW112aは、自動車110aの外部のネットワーク20と通信を行うためのプロトコル変換を行う装置である。GW112aは、車載ネットワーク114aを行き交うパケットに関するログ、並びに、他の情報処理装置であるIVI111a、CAN113aおよびECU1131a、1132aにより送信されたログを適切にプロトコル変換する。GW112aは、これらのログをプロトコル変換した移動体ログを、ネットワーク20を介してセキュリティ監視システム10に送信する。
Further, as shown in FIG. 3B, for example, the
ここで、情報処理装置112の一例であるGW112aは、図4Aまたは図4Bに示すような情報処理装置112で発生した移動体ログをセキュリティ監視システム10に送信してもよい。すなわち、イベント(事象)がGW112aのファーム更新である場合には、移動体ログ内容には、図4Aに示すように、イベントが成功し、正常なログであることを示す「ファーム更新成功」を含む移動体ログをセキュリティ監視システム10に送信してもよい。また、移動体ログ内容には、図4Bに示すように、イベントが失敗し、非正常なログであることを示す「ファーム不正書き換え」を含む移動体ログをセキュリティ監視システム10に送信してもよい。
Here, the
<情報処理装置113>
情報処理装置113は、移動体110が有する複数の情報処理装置の一つである。情報処理装置113は、情報処理装置112と通信を行える機能を有し、移動体110のアクチュエータなどの駆動系を制御可能な情報処理装置群がさらに接続されている。
<
The
情報処理装置113は、駆動系等を制御可能な情報処理装置群と通信し、情報処理装置群からのログを取得して、情報処理装置112に送信する機能を有する。また、情報処理装置113は、これらの機能を実現した際に当該情報処理装置113で発生したログを取得できる機能を有する。
The
情報処理装置113は、本実施の形態では、図3Aに示すように、例えばログ送信部1131を有し、当該情報処理装置113で発生したログ(移動体ログ)をログ送信部1131を介してセキュリティ監視システム10に送信する。
In the present embodiment, as shown in FIG. 3A, the
なお、ログ送信部1131がセキュリティ監視システム10に送信する移動体ログについては、ログ送信部1111等と同様のため説明を省略する。
The mobile body log transmitted by the
また、情報処理装置113は、例えば図3Bに示すように、エンジン制御を始め自動車110aの走行制御等を行うECU(Electronic Control Unit)群のCAN(Controller Area Network)を構成する情報処理装置であるCAN113aであってもよい。ECU群は上記の情報処理装置群の一例である。また、ECU群は、例えば、エンジン制御の他、トランスミッション制御、ブレーキ制御を電子制御可能な制御装置である。
Further, as shown in FIG. 3B, for example, the
CAN113aは、自動車110aの車載アプリケーションを構成する各システムおよびセンサをシリアル接続する。図3Bに示す例では、CAN113aは、ECU1131a、ECU1132aといったECU群とシリアル接続され、ECU1131a、ECU1132aで発生したログまたは、CAN113aで発生したログを、移動体ログとしてGW112aに送信することで、セキュリティ監視システム10に送信する。
The
なお、移動体110では、情報処理装置111〜情報処理装置113のそれぞれがセキュリティ監視システム10に移動体ログを送信するとしてもよい。また、移動体110では、情報処理装置112が情報処理装置111〜情報処理装置113の移動体ログをまとめて一定期間ごとにセキュリティ監視システム10に送信するとしてもよい。
In the
[セキュリティ監視システム10]
次に、セキュリティ監視システム10の構成について説明する。
[Security monitoring system 10]
Next, the configuration of the
セキュリティ監視システム10は、セキュリティ監視を行うシステムであって、第1ネットワークで接続された複数の情報処理装置を有する1以上の物体の情報処理装置に対する攻撃を監視する。セキュリティ監視システム10は、例えば図5に示すように、移動体ログDB11と、攻撃分析装置12と、解析支援情報DB13と、攻撃ログDB14と、表示装置15とを備える。
The
<移動体ログDB11>
移動体ログDB11は、第1ネットワークとは異なる第2ネットワークを介して1以上の移動体それぞれから取得されることにより、1以上の物体が有する複数の情報処理装置それぞれで発生したログ(移動体ログ)を記憶する第1記憶装置である。
<
The
図2および図5に示す例では、移動体ログDB11は、ネットワーク114とは異なるネットワーク20を介して、移動体110および移動体120それぞれから取得された移動体ログを記憶する。また、移動体ログDB11は、攻撃分析装置12と接続されており、記憶する移動体ログを攻撃分析装置12に提供する機能を有する。
In the example illustrated in FIGS. 2 and 5, the
移動体ログDB11は、例えば図4Aおよび図4Bに示されるようなデータ形式でログ(移動体ログ)を記憶する。移動体ログには、図4Aおよび図4Bに示す例の他、システムログ、セキュリティログ、ネットワークログを示す移動体ログ内容を含んでもよい。
Mobile
なお、図2および図5に示す例では、移動体ログDB11は、セキュリティ監視システム10が有するネットワークを介して攻撃分析装置12と接続されているが、これに限らない。移動体ログDB11は、攻撃分析装置12とネットワーク20を介して接続されてもよい。
In the example shown in FIGS. 2 and 5, the
また、図2には、移動体ログDB11は、攻撃分析装置12によりネットワーク20を介して、移動体110および移動体120それぞれから取得された移動体ログを記憶する場合の一例が示されているが、これに限らない。移動体ログDB11は自らネットワーク20を介して、移動体110および移動体120それぞれから取得した移動体ログを記憶するとしてもよい。また、移動体ログDB11はクラウドを構成し、攻撃分析装置12とは独立した装置であってもよい。
Further, FIG. 2 shows an example in the case where the
<攻撃分析装置12>
攻撃分析装置12は、一の移動体が複数の情報処理装置を経由する攻撃を受けたか否かを分析するための装置である。
<Attack
The
図5は、本実施の形態に係る攻撃分析装置12の機能構成の一例を示す図である。
FIG. 5 is a diagram showing an example of a functional configuration of the
攻撃分析装置12は、図5に示すように、ログ収集部121と、攻撃判定部122と、攻撃シナリオ表示生成部123とを備える。
As shown in FIG. 5, the
≪ログ収集部121≫
ログ収集部121は、複数の情報処理装置を有する1以上の移動体のログを収集する。図5に示す例では、ログ収集部121は、ネットワーク20を介して、移動体110および移動体120それぞれから移動体ログを取得し、移動体ログDB11に記憶させる。
«
The
ログ収集部121は、例えば図4Aおよび図4Bに示されるように、正常なログおよび非正常なログを含む1以上の移動体の移動体ログすべてを収集してもよいし、図4Bに示されるような非正常な移動体ログのみを収集してもよい。
For example, as shown in FIGS. 4A and 4B, the
≪攻撃判定部122≫
攻撃判定部122は、攻撃判定装置の一例である。攻撃判定部122は、第1記憶装置が記憶する一の物体についての2以上のログと、第2記憶装置が記憶する解析支援情報であって一の物体が有する複数の情報処理装置に関する解析支援情報とを対照する。攻撃判定部122は、このように対照することで、2以上のログそれぞれが、2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定し、判定結果を出力する。
«Attack
The
より具体的には、攻撃判定部122は、第2記憶装置が記憶する解析支援情報から、2以上のログのそれぞれに対応する情報処理装置についての解析支援情報を抽出する。そして、攻撃判定部122は、2以上のログと、抽出した解析支援情報とを対照することで、当該2以上のログそれぞれに示される事象が、対応する情報処理装置において設計上発生する事象かどうかに応じて、2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定する。
More specifically, the
例えば、解析支援情報は、2以上のログそれぞれに記載される事象の発生条件と、当該発生条件が正しいか否かを識別するための条件を示す判断情報とで構成される。この場合、攻撃判定部122は、2以上のログそれぞれから、判断情報に示される条件を満たすか否かを判断するための情報を抽出し、判断情報と対照することで、攻撃であるか否かを判定してもよい。なお、攻撃判定部122は、2以上のログそれぞれから特徴を抽出し、抽出した当該特徴の統計情報を判断するための情報とすることで、2以上のログそれぞれから、当該情報を抽出してもよい。
For example, the analysis support information is configured of an occurrence condition of an event described in each of two or more logs, and determination information indicating a condition for identifying whether the occurrence condition is correct. In this case, the
図2および図5に示す例では、攻撃判定部122は、移動体ログDB11から例えば移動体110の2以上の移動体ログを取得し、解析支援情報DB13から移動体110が有する情報処理装置111〜113に関する設計情報を含む解析支援情報を抽出する。攻撃判定部122は、2以上の移動体ログと、抽出した解析支援情報とを付き合わせることで、2以上の移動体ログそれぞれに示される事象が、対応する情報処理装置において設計上発生する事象かどうかを判定する。そして、攻撃判定部122は、移動体ログに示される事象が設計上発生する事象でないと判定した場合には、対応する情報処理装置に対してハッカーの攻撃がされていると判定し、判定結果として推定した攻撃内容である攻撃判定内容とともに攻撃ログDB14に記憶させる。
In the example illustrated in FIGS. 2 and 5, the
なお、攻撃判定内容となる候補すなわち攻撃判定内容候補は、解析支援情報DB13から抽出した解析支援情報に含まれているとしてもよいし、解析支援情報から、推定するとしてもよい。また、判定結果は、攻撃判定内容を示す場合に限らず、移動体110に対する攻撃可能性または移動体110が有する複数の情報処理装置の異常度を示すとしてもよい。
Note that the candidate for the attack determination content, that is, the attack determination content candidate may be included in the analysis support information extracted from the analysis
図6は、本実施の形態に係る攻撃判定部122が抽出した解析支援情報の一例を示す図である。
FIG. 6 is a diagram showing an example of analysis support information extracted by the
図6では、攻撃判定部122が、図4Bに示す移動体ログID「E0001」の非正常ログを含む移動体ログを取得し、移動体ログID「E0001」に対応する移動体110の情報処理装置112の解析支援情報を抽出した場合の例が示されている。図6に示される解析支援情報は、移動体ログ内容に示される事象の発生条件とその判断情報とで構成されている。また、図6には、抽出した解析支援情報を用いて判定することができる攻撃判定内容候補がさらに示されている。
In FIG. 6, the
図6において、発生条件「ファーム更新期間内」は、移動体110の情報処理装置112の設計情報から得られる移動体ログ内容に示される事象の発生条件を示しており、情報処理装置112に予め設定され固定的なものである。また、判断情報「期間内or期間外」は、当該発生条件が正しいか否かを識別するための条件を示し、移動体110の情報処理装置112において設計上発生する事象であるか否かに対応する。判断情報は、移動体ログ等から取得する静的または動的なものである。
In FIG. 6, the occurrence condition “within the firmware update period” indicates the occurrence condition of the event shown in the mobile log contents obtained from the design information of the
そして、攻撃判定部122は、図6に示す解析支援情報と、図4Bに示す移動体ログとを対照することで、図4Bに示す移動体ログに示される事象が、対応する情報処理装置112において設計上発生する事象であるかを判定する。攻撃判定部122は、図4Bに示す移動体ログに示される事象が設計上発生しない事象と判定した場合には、対応する情報処理装置に対してハッカーの攻撃がされていると判定する。そして、攻撃判定部122は、その攻撃が「ファーム不正書き換え」といった攻撃判定内容であると推定すればよい。
Then, the
また、攻撃判定部122は、オンラインすなわちリアルタイムに2以上移動体のログを取得して、当該2以上の移動体ログそれぞれに示される事象が、対応する情報処理装置において設計上発生する事象かどうかを判定してもよい。また、攻撃判定部122は、2以上の移動体ログを取得して、当該2以上の移動体ログそれぞれに示される事象が、設計上発生する事象かどうかをオフラインで判定してもよい。
In addition, the
なお、攻撃判定部122は、当該2以上の移動体ログのうちの1以上の移動体ログそれぞれに示される事象が、対応する情報処理装置において設計上発生する事象かどうかを判定できない場合もある。この場合には、攻撃判定部122は、当該1以上の移動体ログ以外の他の移動体ログにおいて対応する情報処理装置において設計上発生する事象ではなく攻撃されていることを判定した場合に、当該1以上の移動体ログに示される事象においても攻撃されていると判定すればよい。そして、攻撃判定部122は、当該1以上の移動体ログに示される事象を、攻撃判定内容候補に示される攻撃がされているものとして推定すればよい。
The
つまり、攻撃判定部122は、2以上のログのうちの1以上のログが、当該1以上のログに対応する情報処理装置に対する攻撃であることを判定した場合、2以上のログのうちの少なくとも一のログが当該少なくとも一のログに対応する情報処理装置に対する攻撃であることを判定できないときには、当該少なくとも一のログが、当該少なくとも一のログに対応する情報処理装置に対する攻撃であると推定すればよい。
That is, if the
≪攻撃シナリオ表示生成部123≫
攻撃判定部122により、2以上のログそれぞれが、2以上のログのそれぞれに対応する情報処理装置に対する攻撃であると判定されたとする。この場合、攻撃シナリオ表示生成部123は、判定された攻撃内容(攻撃判定内容)と、2以上のログそれぞれが発生した時刻とを、2以上のログに対応する位置に表示する表示画面である攻撃シナリオ表示画面を生成して出力する。
«Attack scenario
It is assumed that the
例えば、攻撃シナリオ表示生成部123は、攻撃シナリオ表示画面として、判定された攻撃内容(攻撃判定内容)と、2以上のログそれぞれが発生した時刻とを、当該一の物体が有する第1ネットワークで接続された複数の情報処理装置を示す物体ネットワーク構成図のうち対応する情報処理装置の位置に対応づけた表示画面を生成して出力してもよい。また、例えば、攻撃シナリオ表示生成部123は、攻撃シナリオ表示画面として、判定された攻撃内容(攻撃判定内容)と、2以上のログのそれぞれに対応する情報処理装置とを、2以上のログのそれぞれが発生した時刻ごとに時系列で表示した表示画面を生成して出力してもよい。
For example, as the attack scenario display screen, the attack scenario
また、攻撃シナリオ表示生成部123は、ディスプレイに生成した攻撃シナリオ表示画面を出力してディスプレイに表示させる。
In addition, the attack scenario
図7Aおよび図7Bは、本実施の形態に係る攻撃シナリオ表示生成部123が生成した攻撃シナリオ表示画面の一例を示す図である。図7Aでは、移動体110が有する情報処理装置111〜113を示す移動体ネットワークを含む攻撃シナリオ表示画面の一例が示されている。図7Bでは、タイムラインを含む攻撃シナリオ表示画面の一例が示されている。
FIGS. 7A and 7B are diagrams showing an example of the attack scenario display screen generated by the attack scenario
すなわち、図7Aに示すように、攻撃シナリオ表示生成部123は、移動体110の移動体ネットワークにおいて対応する情報処理装置の位置に、攻撃判定内容と3つの移動体ログそれぞれが発生した時刻とを対応づけた攻撃シナリオ表示画面を生成してもよい。また、図7Bに示すように、攻撃シナリオ表示生成部123は、時刻A、B、Cといった3つのログそれぞれが発生した時刻ごとに時系列で、攻撃判定内容と3つの移動体ログそれぞれに対応する情報処理装置111〜113とを表示した攻撃シナリオ表示画面を生成してもよい。
That is, as shown in FIG. 7A, the attack scenario
なお、例えば、図7Aおよび図7Bに示される攻撃シナリオ表示画面において、攻撃判定が未だされていない移動体ログがある場合も考えられる。この場合には、攻撃シナリオ表示生成部123は、当該移動体ログに対応する画面と他の移動体ログに対応する画面とを色分けするなどして、攻撃判定されていない問題のない部分がわかるような攻撃シナリオ表示画面を生成してもよい。
For example, in the attack scenario display screen shown in FIG. 7A and FIG. 7B, there may be considered a case where there is a moving object log for which attack determination has not been made yet. In this case, the attack scenario
また、図5に示す例を用いて、攻撃分析装置12はログ収集部121と、攻撃判定部122と、攻撃シナリオ表示生成部123とを備える場合について説明したが、これに限らない。ログ収集部121と、攻撃判定部122と、攻撃シナリオ表示生成部123とは、独立した装置すなわちログ収集装置と、攻撃判定装置と、攻撃シナリオ表示生成装置とであってもよく、それぞれクラウドを構成するとしてもよい。
In addition, although the case where the
<解析支援情報DB13>
解析支援情報DB13は、1以上の物体する複数の情報処理装置それぞれに対する攻撃を判定するために用いられる解析支援情報であって当該複数の情報処理装置それぞれに関する設計情報を少なくとも含む解析支援情報を記憶している第2記憶装置である。ここで、解析支援情報は、当該複数の情報処理装置それぞれに関する設計情報を少なくとも含む、また、解析支援情報は、さらに、1以上の物体それぞれの仕様および1以上の物体それぞれの状態を含んでもよい。解析支援情報は、2以上のログそれぞれに記載される事象の発生条件と、当該発生条件が正しいか否かを識別するための条件を示す判断情報とで構成される。
<Analysis
The analysis
より具体的には、解析支援情報DB13は、例えば図6で説明したように発生条件と判断情報とで構成されている解析支援情報を記憶する。
More specifically, the analysis
発生条件は、移動体ログに対応する情報処理装置において予め設定された設計情報から得られるログの発生条件を示しており、固定的なものである。判断情報には、例えば移動体のネットワーク構成などの移動体仕様が含まれるとしてもよい。また、発生条件には、情報処理装置のファームウェア更新に関するシーケンス情報、または、駐車中から走行中に遷移、走行中からレーンキープモードに遷移したなどの移動体の状態遷移情報が含まれていてもよい。 The generation condition indicates a generation condition of a log obtained from design information set in advance in an information processing apparatus corresponding to a mobile log, and is fixed. The determination information may include, for example, mobile specification such as a network configuration of a mobile. In addition, the generation condition may include sequence information on firmware update of the information processing apparatus, or state transition information of a moving object such as transition from parking to traveling, transition from traveling to lane keep mode, etc. Good.
判断情報は、その発生条件が正しいか否かを識別するための条件を示し、移動体ログに対応する情報処理装置において設計上発生する事象であるか否かを判定するために用いられる。判断情報は、上述したように、移動体ログ等から取得する動的なものである。判断情報は、自動運転モードもしくはレーンキープ状態であるなどの移動体のシステム状態を含むとしてもよい。また、判断情報は、移動体が走行中である、止まっているなどの移動体の走行状態を含むとしてもよい。 The determination information indicates a condition for identifying whether or not the occurrence condition is correct, and is used to determine whether or not the event occurs in design in the information processing apparatus corresponding to the mobile log. As described above, the determination information is dynamic information acquired from a mobile log or the like. The determination information may include the system state of the mobile such as in the automatic operation mode or in the lane keeping state. In addition, the determination information may include the traveling state of the moving body such as the moving body traveling or at rest.
なお、解析支援情報は、図6で説明したものに限らない。解析支援情報DB13は、図8に示すような解析支援情報を記憶するとしてもよい。
The analysis support information is not limited to the one described in FIG. The analysis
図8は、本実施の形態に係る解析支援情報DB13が記憶する解析支援情報の一例を示す図である。図8には、移動体ログ内容に対応する解析支援情報と、解析支援情報および移動体ログ内容とを対照することで推定できる攻撃判定内容候補が示されている。
FIG. 8 is a diagram showing an example of analysis support information stored in the analysis
なお、図8には、特定の移動体ログ内容に対応する解析支援情報に「なし(判断できない)」と示されているものがある。これは特定の移動体ログ内容と移動体ログ内容に対応する情報処理装置等の設計情報とを対照しても、特定の移動体ログ内容に示される事象が攻撃を示すものか否かを判定できないことを示している。この場合には、攻撃判定部122は、他の移動体ログに示される事象が攻撃されていることを示していると判定したときに、当該特定の移動体ログに示される事象を攻撃判定内容候補に示される攻撃がされているものとして推定すればよい。
Note that, in FIG. 8, there is one in which “No (cannot be determined)” is indicated in the analysis support information corresponding to the specific mobile log content. It is determined whether an event indicated in a specific moving object log content indicates an attack, even if the specific moving object log content is compared with design information of an information processing apparatus or the like corresponding to the moving object log content. It shows that it can not. In this case, when the
<攻撃ログDB14>
攻撃ログDB14は、移動体に対する攻撃と判定された攻撃判定内容を含む攻撃ログを記憶する第3記憶装置である。攻撃ログDB14は、移動体ごとに2以上の移動体ログに対応する攻撃ログを記憶する。
<Attack
The
より具体的には、攻撃ログDB14は、攻撃判定部122により判定した攻撃判定内容および対応する移動体ログを一意に識別するための情報が記憶される。
More specifically, the
図9は、本実施の形態に係る攻撃ログDB14が記憶する攻撃ログの一例を示す図である。
FIG. 9 is a diagram showing an example of an attack log stored by the
図9には、攻撃判定部122により、図4Bに示すように、移動体ログ内容である「ファーム更新失敗」が示す事象が、移動体110の情報処理装置112に対する「ファーム不正書き換え」の攻撃と判定された場合の例が示されている。すなわち、攻撃ログDB14には、移動体ログを一意に識別するための情報として移動体ID、情報処理装置名およびイベント(事象)の発生日時と、攻撃判定内容「ファーム不正書き換え」とが記載された場合の例が示されている。なお、図9に示す攻撃ログでは、移動体ログを一意に識別するための情報として移動体ID、情報処理装置名および発生日時を含む例を示しているが、これに限らない。
In FIG. 9, as shown in FIG. 4B by the
また、図2および図5に示す例では、移動体ログDB11は、セキュリティ監視システム10が有するネットワークを介して攻撃分析装置12と接続されているが、これに限らない。攻撃ログDB14は、攻撃分析装置12とネットワーク20を介して接続されてもよい。攻撃ログDB14は自らネットワーク20を介して、攻撃分析装置12から、攻撃判定部122が判定した攻撃判定内容および対応する移動体ログを取得して攻撃ログとして記憶してもよい。また、攻撃ログDB14はクラウドを構成し、攻撃分析装置12とは独立した装置であってもよい。
Moreover, in the example shown to FIG. 2 and FIG. 5, although mobile log DB11 is connected with the
<表示装置15>
図10Aおよび図10Bは、本実施の形態に係る表示装置15に表示される攻撃シナリオ表示画面の一態様を示す図である。図11Aは、図7Aに示される攻撃シナリオ表示画面の攻撃判定内容を推定するのに用いた解析支援情報を示す図である。図11Bは、図7Bに示される攻撃シナリオ表示画面の攻撃判定内容を推定するのに用いた解析支援情報を示す図である。
<
FIGS. 10A and 10B are diagrams showing an aspect of the attack scenario display screen displayed on the
表示装置15は、ディスプレイの一例である。表示装置15は、ディスプレイなどの表示部を有し、攻撃シナリオ表示生成部123が生成した攻撃シナリオ表示画面を表示する。表示装置15は、例えば図7Aおよび図7Bに示すような、攻撃シナリオ表示画面を表示する。
The
ここで、例えば表示装置15は、例えば図10Aおよび図10Bに示すような、攻撃シナリオ表示画面を表示してもよい。すなわち、移動体110が自動車110aである場合には、表示装置15は、図10Aに示すように、自動車110aの車載ネットワークにおいて対応する情報処理装置であるIVI111a、GW112aおよびCAN113aの位置に、攻撃判定内容と3つのログそれぞれが発生した時刻とを対応づけた攻撃シナリオ表示画面を表示してもよい。また、表示装置15は、図10Bに示すように、時刻A、B、Cといった3つのログそれぞれが発生した時刻ごとに時系列で、攻撃判定内容と3つのログそれぞれに対応する情報処理装置であるIVI111a、GW112aおよびCAN113aとを表示した攻撃シナリオ表示画面を表示してもよい。
Here, for example, the
なお、図7Aおよび図7Bでは、攻撃シナリオ表示画面には、攻撃判定内容が示されるとして説明したが、これに限らない。攻撃シナリオ表示画面の攻撃判定内容を推定するのに用いた解析支援情報がさらに表示されるとしてもよい。例えば、表示装置15を利用する解析者等のユーザによる操作により、図7Aおよび図7Bの攻撃シナリオ表示画面を切り替えて、図11Aおよび図11Bに示すように攻撃シナリオ表示画面の攻撃判定内容を推定するのに用いた解析支援情報が表示されるとしてもよい。
In FIG. 7A and FIG. 7B, although it is described that the attack determination content is shown on the attack scenario display screen, the present invention is not limited to this. The analysis support information used to estimate the attack determination content of the attack scenario display screen may be further displayed. For example, the attack scenario display screen of FIGS. 7A and 7B is switched by an operation by a user such as an analyst using the
図12Aは、図11Aに示される攻撃シナリオ表示画面の一態様を示す図である。図12Bは、図11Bに示される攻撃シナリオ表示画面の一態様を示す図である。すなわち、移動体110が自動車110aである場合には、表示装置15は、図12Aに示すように、自動車110aの車載ネットワークにおいて対応する情報処理装置であるIVI111a、GW112aおよびCAN113aの位置に、攻撃判定内容を推定するのに用いた解析支援情報と3つの移動体ログそれぞれが発生した時刻とを対応づけた攻撃シナリオ表示画面を表示する。また、表示装置15は、図12Bに示すように、時刻A、B、Cといった3つの移動体ログそれぞれが発生した時刻ごとに時系列で、攻撃判定内容を推定するのに用いた解析支援情報と3つの移動体ログそれぞれに対応する情報処理装置であるIVI111a、GW112aおよびCAN113aとを表示した攻撃シナリオ表示画面を表示する。
FIG. 12A is a diagram showing an aspect of the attack scenario display screen shown in FIG. 11A. FIG. 12B is a diagram showing an aspect of the attack scenario display screen shown in FIG. 11B. That is, when the moving
このように、図10Aおよび図10Bの攻撃シナリオ表示画面を切り替えて、図12Aおよび図12Bに示すように攻撃シナリオ表示画面の攻撃判定内容を推定するのに用いた解析支援情報が表示されるとしてもよい。 Thus, it is assumed that the analysis support information used to estimate the attack determination content of the attack scenario display screen is displayed as shown in FIGS. 12A and 12B by switching the attack scenario display screens in FIGS. 10A and 10B. It is also good.
なお、表示装置15は、表示部を有するPCなどであってもよい。この場合、表示装置15は、端末として機能し、攻撃分析装置12を操作することにより、攻撃分析装置12に、複数の情報処理装置を有する移動体への攻撃を監視させてもよい。
The
[セキュリティ監視システム10の動作]
次に、以上のように構成されたセキュリティ監視システム10の動作について、図を用いて説明する。
[Operation of security monitoring system 10]
Next, the operation of the
図13は、本実施の形態に係るセキュリティ監視システム10の動作を示すフローチャートである。
FIG. 13 is a flowchart showing the operation of the
まず、セキュリティ監視システム10は、1以上の移動体から取得したログ(移動体ログ)を記憶する(S10)。より具体的には、セキュリティ監視システム10は、ネットワークを介して1以上の物体それぞれから取得した、1以上の物体が有する複数の情報処理装置それぞれで発生したログを第1記憶装置に記憶する。例えば図2に示す例では、セキュリティ監視システム10は、ネットワーク20を介して、移動体110および移動体120それぞれから取得された移動体ログを移動体ログDB11に記憶する。
First, the
次に、セキュリティ監視システム10は、1以上の移動体それぞれに対する解析支援情報を抽出する(S20)。より具体的には、セキュリティ監視システム10は、1以上の物体が有する複数の情報処理装置それぞれに対する攻撃を判定するために用いられる解析支援情報であって複数の情報処理装置それぞれに関する解析支援情報を第2記憶装置から抽出する。例えば図2に示す例では、セキュリティ監視システム10は、発生条件と判断情報とで構成されている解析支援情報を解析支援情報DB13から抽出する。
Next, the
次に、セキュリティ監視システム10は、一の移動体についての移動体ログと対応する解析支援情報とを用いて攻撃判定を行う(S30)。より具体的には、セキュリティ監視システム10は、まず、第1記憶装置が記憶する一の物体についての2以上のログと、ステップS20において抽出した解析支援情報であって一の物体が有する複数の情報処理装置に関する解析支援情報とを対照することで、2以上のログそれぞれが、2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定する。例えば図2に示す例では、セキュリティ監視システム10は、解析支援情報DB13が記憶する解析支援情報と、移動体ログDB11が記憶する移動体ログとを対照することで、当該移動体ログに示される事象が対応する情報処理装置において設計上発生する事象であるか否かを判定する。
Next, the
以下、ステップS30について図14を用いてさらに詳細に説明する。 Hereinafter, step S30 will be described in more detail with reference to FIG.
図14は、図13に示すステップS30の詳細動作を示すフローチャートである。 FIG. 14 is a flowchart showing the detailed operation of step S30 shown in FIG.
すなわち、ステップS30において、まず、セキュリティ監視システム10は、一の移動体についての移動体ログを取得する(S301)。より具体的には、セキュリティ監視システム10は、第1記憶装置が記憶する一の物体についての2以上のログを取得する。例えば図2に示す例では、セキュリティ監視システム10は、移動体ログDB11が記憶する2以上の移動体ログを取得する。
That is, in step S30, first, the
次に、セキュリティ監視システム10は、取得した移動体ログに対応する解析支援情報を抽出する(S302)。より具体的には、セキュリティ監視システム10は、第2記憶装置が記憶する解析支援情報から、すなわちステップS20において第2記憶装置から抽出した解析支援情報から、取得した当該2以上のログのそれぞれに対応する情報処理装置についての解析支援情報を抽出する。例えば図2に示す例では、セキュリティ監視システム10は、解析支援情報DB13が記憶する解析支援情報から、取得した2以上の移動体ログに対応する解析支援情報を抽出する。
Next, the
次に、セキュリティ監視システム10は、2以上の移動体ログそれぞれについて、移動体ログにより示される事象が設計上発生する事象であるかを判定する(S303)。より具体的には、セキュリティ監視システム10は、取得した2以上のログと、ステップS302において抽出した解析支援情報とを対照することで、2以上のログそれぞれに示される事象が、対応する情報処理装置において設計上発生する事象かどうかに応じて、2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定する。例えば図2に示す例では、セキュリティ監視システム10は、2以上の移動体ログと、抽出した解析支援情報とを付き合わせることで、2以上の移動体ログそれぞれに示される事象が対応する情報処理装置において設計上発生する事象かどうかを判定する。
Next, the
ステップS303において、当該移動体ログにより示される事象が設計上発生する事象でなければ(S303でNo)、当該移動体ログに示される事象は攻撃であると判定する(S304)。一方、当該移動体ログにより示される事象が設計上発生する事象であれば(S303でYes)、当該移動体ログに示される事象は攻撃でないと判定する(S305)。つまり、例えば図2に示す例では、セキュリティ監視システム10は、2以上の移動体ログと、抽出した解析支援情報とを付き合わせることで、2以上の移動体ログそれぞれに示される事象が設計上発生する事象であるか否かにより、ハッカーによる移動体への攻撃かどうかを判定する。
In step S303, if the event indicated by the mobile object log is not an event that occurs in design (No in S303), it is determined that the event indicated in the mobile object log is an attack (S304). On the other hand, if the event indicated by the mobile object log is an event that occurs in design (Yes in S303), it is determined that the event indicated in the mobile object log is not an attack (S305). That is, for example, in the example shown in FIG. 2, the
なお、ステップS303において、当該移動体ログにより示される事象が設計上発生する事象か否かを判断できない場合がある。すなわち、当該移動体ログにより示される事象が当該ログに対応する解析支援情報からでは設計上発生する事象か否かを判断できない場合がある。この場合には、攻撃ログDB14が記憶する攻撃ログにおいて攻撃判定されていない移動体ログがある。
In step S303, it may not be possible to determine whether the event indicated by the mobile object log is an event that occurs in design. That is, there are cases where it can not be determined from the analysis support information corresponding to the log whether the event indicated by the mobile body log is an event that occurs in design. In this case, in the attack log stored in the
この場合のセキュリティ監視システム10の動作を図15を用いて説明する。
The operation of the
図15は、本実施の形態に係るセキュリティ監視システム10の攻撃推定処理の一例を示すフローチャートである。
FIG. 15 is a flowchart showing an example of the attack estimation process of the
セキュリティ監視システム10が図13に示す攻撃判定処理を行い、攻撃ログを攻撃ログDB14に記憶させたとする。
It is assumed that the
その後、セキュリティ監視システム10は、まず、図14に示すように、攻撃ログDB14から攻撃ログを取得する(S306)。
Thereafter, as shown in FIG. 14, the
次に、セキュリティ監視システム10は、同一移動体において攻撃判定できていない移動体ログがあるかを判定する(S307)。
Next, the
攻撃判定できていない移動体ログがある場合(S307でyes)、当該移動体ログは、攻撃判定された他のログの前後の所定期間内ものであるかを判定する(S308)。 If there is a mobile log for which the attack determination can not be made (yes in S307), it is determined whether the mobile log is within a predetermined period before and after the other log determined to be attacked (S308).
他のログの前後の所定期間内ものであれば(S308でYes)、当該移動体ログに示される事象は攻撃であると判定する(S309)。 If it is within a predetermined period before and after another log (Yes in S308), it is determined that the event indicated in the mobile object log is an attack (S309).
なお、ステップS308における所定期間は、移動体の外部のI/F(インターフェース)からの経由数に応じて変更してもよい。例えば経由数が10段以上であれば、期間を長くするなどすればよい。 Note that the predetermined period in step S308 may be changed according to the number of transits from the I / F (interface) outside the mobile unit. For example, if the number of passes is 10 or more, the period may be extended.
[効果等]
本実施の形態のシステムおよび方法によれば、移動体ログと解析支援情報とを用いることで、一つの移動体において複数の情報処理装置を経由する攻撃を受けたか否かを判定することができるので、複数の情報処理装置を有する移動体の情報処理装置への攻撃を監視することができる。
[Effects, etc.]
According to the system and method of the present embodiment, it is possible to determine whether or not an attack via a plurality of information processing apparatuses has been performed in one mobile object by using the mobile object log and the analysis support information. Therefore, it is possible to monitor an attack on the information processing apparatus of a mobile having a plurality of information processing apparatuses.
さらに、本実施の形態のシステムおよび方法は、判定した攻撃判定内容とログ取得時刻とを共に表示する攻撃シナリオ表示画面を提供する。これにより、解析者は、一つの移動体に対する攻撃シナリオを推定可能となる。 Furthermore, the system and method of the present embodiment provide an attack scenario display screen that displays both the determined attack determination content and the log acquisition time. This enables the analyst to estimate an attack scenario for one mobile unit.
なお、上述したように、本実施の形態のシステムおよび方法は、移動体に限らず、移動体と同様の物体にも適用できる。つまり、本実施の形態のシステムおよび方法によれば、複数の情報処理装置を有する移動体の情報処理装置への攻撃を監視することができる。 As described above, the system and method of the present embodiment can be applied not only to mobiles but also to objects similar to mobiles. That is, according to the system and method of the present embodiment, it is possible to monitor an attack on a data processing device of a mobile having a plurality of data processing devices.
また、本実施の形態のシステムおよび方法は、判定した攻撃判定内容とログ取得時刻とを共に表示する攻撃シナリオ表示画面を提供する。これにより、解析者は、一つの物体に対する攻撃シナリオを推定可能となる。 In addition, the system and method of the present embodiment provide an attack scenario display screen that displays both the determined attack determination content and the log acquisition time. This enables the analyst to estimate an attack scenario for one object.
(その他の実施の形態)
上記の実施の形態では、解析支援情報は、解析支援情報DB13において予め記憶されているとして説明したが、これに限らない。攻撃分析装置が、ログ収集部121で収集した移動体ログを用いて新しい解析支援情報を新規に登録してもよい。
(Other embodiments)
Although the above-mentioned embodiment explained that analysis support information was beforehand stored in analysis support information DB13, it does not restrict to this. The attack analysis device may newly register new analysis support information using the mobile body log collected by the
図16は、その他の実施の形態に係る攻撃分析装置12Aの機能構成の一例を示す図である。図5と同様の要素には同一の符号を付しており、詳細な説明は省略する。
FIG. 16 is a diagram showing an example of a functional configuration of the
図16に示す攻撃分析装置12Aは、図5に示す攻撃分析装置12に対して、判断情報生成部124が追加されている点で構成が異なる。
The
判断情報生成部124は、ログ収集部121が収集した移動体ログを取得する。
The determination
また、判断情報生成部124は、取得した移動体ログに対応する解析支援情報が解析支援情報DB13に記憶されているかどうかを判断する。
In addition, the determination
判断情報生成部124は、取得した移動体ログに対応する解析支援情報が解析支援情報DB13に記憶されていると判断した場合は、対応する解析支援情報の収集数を1インクリメントする。一方、判断情報生成部124は、取得した移動体ログに対応する解析支援情報が解析支援情報DB13に記憶されていないつまりないと判断した場合は、その移動体ログに対応する解析支援情報を解析支援情報DB13に新たに登録する。
When it is determined that the analysis support information corresponding to the acquired moving object log is stored in the analysis
なお、判断情報生成部124は、取得した移動体ログに対応する解析支援情報が解析支援情報DB13に解析支援情報DB13にない場合に新しい解析支援情報を追加すると説明したが、これに限定しない。例えば、判断情報生成部124は、移動対ログを取得する度に、既に解析支援情報DB13に記憶されている解析支援情報であって取得した移動体ログに対応する解析支援情報を更新してもよい。また、判断情報生成部124は、解析支援情報のない移動体ログを所定の数取得した場合にのみ、新しい解析支援情報を追加する更新処理を行ってもよい。
Although it has been described that the determination
次に、以上のように構成された攻撃分析装置12Aの動作について説明する。
Next, the operation of the
図17は、その他の実施の形態に係る攻撃分析装置12Aの動作を示すフローチャートである。
FIG. 17 is a flowchart showing the operation of the
まず、攻撃分析装置12Aは、移動体ログを取得する(S40)。より具体的には、攻撃分析装置12Aは、ログ収集部121に移動体ログを収集させることで取得する。
First, the
次に、攻撃分析装置12Aは、S40で取得した移動体ログに対応する解析支援情報が解析支援情報DBにあるか否かを判断する(S50)。より具体的には、攻撃分析装置12Aは、判断情報生成部124に、取得した移動体ログに対応する解析支援情報が解析支援情報DB13に記憶されているかどうかを判断させる。
Next, the
ステップS50において、あると判断した場合(S50でYes)、攻撃分析装置12Aは、対応する解析支援情報のカウント数を1インクリメントする。一方、ないと判断した場合(S50でNo)、攻撃分析装置12Aは、対応する解析支援情報を解析支援情報DB13に新たに登録する。より具体的には、攻撃分析装置12Aは、判断情報生成部124が、取得した移動体ログに対応する解析支援情報が解析支援情報DB13に記憶されていると判断した場合は、判断情報生成部124に、対応する解析支援情報の収集数を1インクリメントさせる。一方、攻撃分析装置12Aは、判断情報生成部124が、取得した移動体ログに対応する解析支援情報が解析支援情報DB13に記憶されていないと判断した場合は、判断情報生成部124に、その移動体ログに対応する解析支援情報を解析支援情報DB13に新たに登録させる。
In step S50, when it is determined that there is (Yes in S50), the
以上のように、本出願において開示する技術の例示として、実施の形態を説明した。しかしながら、本実施の形態における技術は、これに限定されず、適宜、変更、置き換え、付加、省略などを行った実施の形態にも適用可能である。また、上記各実施の形態で説明した各構成要素を組み合わせて、新たな実施の形態とすることも可能である。 As described above, the embodiment has been described as an example of the technology disclosed in the present application. However, the technology in the present embodiment is not limited to this, and can be applied to an embodiment in which changes, replacements, additions, omissions, and the like are appropriately made. Moreover, it is also possible to combine each component demonstrated by said each embodiment, and to set it as a new embodiment.
また、本開示に係る実施の形態について図面を参照して詳述してきたが、上述した装置や各処理部の機能は、コンピュータプログラムにより実現され得る。 Further, although the embodiments according to the present disclosure have been described in detail with reference to the drawings, the functions of the above-described apparatus and each processing unit may be realized by a computer program.
上述した機能をプログラムにより実現するコンピュータは、キーボードやマウス、タッチパッドなどの入力装置、ディスプレイやスピーカなどの出力装置、プロセッサまたはCPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク装置やSSD(Solid State Drive)などの記憶装置、DVD−ROM(Digital Versatile Disk Read Only Memory)やUSB(Universal Serial Bus)メモリなどの記録媒体から情報を読み取る読取装置、ネットワークを介して通信を行うネットワークカードなどを備え、各部はバスにより接続される。 The computer that realizes the functions described above according to a program includes input devices such as a keyboard and a mouse or a touch pad, output devices such as a display and a speaker, a processor or central processing unit (CPU), read only memory (ROM), and random access memory (RAM) Memory, a storage device such as a hard disk drive or solid state drive (SSD), a reader that reads information from a recording medium such as a DVD-ROM (Digital Versatile Disk Read Only Memory) or a USB (Universal Serial Bus) memory, via a network A network card or the like for communication is provided, and each unit is connected by a bus.
そして、読取装置は、上記プログラムを記録した記録媒体からそのプログラムを読み取り、記憶装置に記憶させる。あるいは、ネットワークカードが、ネットワークに接続されたサーバ装置と通信を行い、サーバ装置からダウンロードした上記各装置の機能を実現するためのプログラムを記憶装置に記憶させる。 Then, the reading device reads the program from the recording medium having the program recorded thereon, and stores the program in the storage device. Alternatively, the network card communicates with the server device connected to the network, and stores in the storage device a program for realizing the functions of the respective devices downloaded from the server device.
そして、プロセッサまたはCPUが、記憶装置に記憶されたプログラムをRAMにコピーし、そのプログラムに含まれる命令をRAMから順次読み出して実行することにより、上記各装置の機能が実現される。 Then, the processor or the CPU copies the program stored in the storage device to the RAM, sequentially reads out the instructions included in the program from the RAM, and executes the instructions, whereby the functions of the above-described devices are realized.
本開示に係るシステムおよび方法は、自動車、船舶または飛行機等の移動体が有する情報処理装置に対するハッカーの攻撃を監視するためのセキュリティ監視のためのシステムおよび方法に利用できる。 The system and method according to the present disclosure can be used in a system and method for security surveillance for monitoring hacker attacks on information processing devices possessed by mobile objects such as cars, ships and airplanes.
1 システム
10 セキュリティ監視システム
11 移動体ログDB
12 攻撃分析装置
13 解析支援情報DB
14 攻撃ログDB
15 表示装置
20、114 ネットワーク
110、120 移動体
110a 自動車
111、112、113 情報処理装置
111a IVI
112a GW
113a CAN
121 ログ収集部
122 攻撃判定部
123 攻撃シナリオ表示生成部
1111、1121、1131 ログ送信部
1131a、1132a ECU
1
12
14 Attack Log DB
REFERENCE SIGNS
112a GW
113a CAN
121
Claims (13)
第1ネットワークとは異なる第2ネットワークを介して前記1以上の物体それぞれから取得されることにより、前記1以上の物体が有する複数の情報処理装置それぞれで発生したログを記憶する第1記憶装置と、
前記1以上の物体が有する複数の情報処理装置それぞれに対する攻撃を判定するために用いられる解析支援情報であって前記複数の情報処理装置それぞれに関する解析支援情報を記憶している第2記憶装置と、
前記第1記憶装置が記憶する一の物体についての2以上のログと、前記第2記憶装置が記憶する解析支援情報であって前記一の物体が有する複数の情報処理装置に関する解析支援情報とを対照することで、前記2以上のログそれぞれが、前記2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定し、判定結果を出力する攻撃判定装置とを備える、
システム。 A system for security monitoring that monitors an attack on an information processing device of one or more objects having a plurality of information processing devices connected by a first network, the system comprising:
A first storage device for storing logs generated in each of a plurality of information processing apparatuses possessed by the one or more objects by being acquired from each of the one or more objects via a second network different from the first network; ,
A second storage device storing analysis support information related to each of the plurality of information processing apparatuses, which is analysis support information used to determine an attack on each of the plurality of information processing apparatuses included in the one or more objects;
Two or more logs of one object stored by the first storage device, and analysis support information stored in the second storage device, the analysis support information related to a plurality of information processing devices included in the one object By contrast, it is determined whether or not each of the two or more logs is an attack on an information processing apparatus corresponding to each of the two or more logs, and the attack determination apparatus outputs the determination result.
system.
請求項1に記載のシステム。 The analysis support information includes at least design information on each of the plurality of information processing devices.
The system of claim 1.
請求項2に記載のシステム。 The analysis support information further includes a specification of each of the one or more objects and a state of each of the one or more objects.
The system of claim 2.
請求項2または3に記載のシステム。 The analysis support information includes an occurrence condition of an event described in each of the two or more logs, and determination information indicating a condition for identifying whether the occurrence condition is correct.
A system according to claim 2 or 3.
請求項4に記載のシステム。 The attack determination apparatus extracts, from each of the two or more logs, information for determining whether or not the condition indicated in the determination information is satisfied, and whether the attack is the attack by comparing with the determination information Determine whether or not
The system of claim 4.
請求項5に記載のシステム。 The attack determination device extracts a feature from each of the two or more logs, and uses the extracted statistical information of the feature as the information for the determination to extract the information from each of the two or more logs. ,
The system according to claim 5.
前記2以上のログと、抽出した前記解析支援情報とを対照することで、前記2以上のログそれぞれに示される事象が、前記対応する情報処理装置において設計上発生する事象かどうかに応じて、前記2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定する、
請求項1〜6のいずれか1項に記載のシステム。 The attack determination apparatus extracts analysis support information on an information processing apparatus corresponding to each of the two or more logs from the analysis support information stored in the second storage device.
By comparing the two or more logs with the extracted analysis support information, whether the event indicated in each of the two or more logs is an event that occurs in design in the corresponding information processing apparatus It is determined whether the attack is on an information processing apparatus corresponding to each of the two or more logs.
The system according to any one of claims 1 to 6.
請求項1〜7のいずれか1項に記載のシステム。 The attack determination device determines that at least one of the two or more logs is an attack on an information processing device corresponding to the one or more logs, at least one of the two or more logs. When it can not be determined that one log is an attack on the information processing apparatus corresponding to the at least one log, the at least one log is estimated to be an attack on the information processing apparatus corresponding to the at least one log. ,
A system according to any one of the preceding claims.
前記攻撃判定装置により、前記2以上のログそれぞれが、前記2以上のログのそれぞれに対応する情報処理装置に対する攻撃であると判定された場合、判定された攻撃内容と、前記2以上のログそれぞれが発生した時刻とを、前記2以上のログに対応する位置に表示する表示画面である攻撃シナリオ表示画面を生成する攻撃シナリオ表示生成装置とを備え、
前記攻撃シナリオ表示生成装置は、ディスプレイに生成した攻撃シナリオ表示画面を出力する、
請求項1〜8のいずれか1項に記載のシステム。 further,
If it is determined by the attack determination apparatus that each of the two or more logs is an attack on an information processing apparatus corresponding to each of the two or more logs, the determined attack content and each of the two or more logs And an attack scenario display generation device for generating an attack scenario display screen which is a display screen for displaying the time when the event occurred and the position corresponding to the two or more logs,
The attack scenario display generation device outputs the generated attack scenario display screen on a display,
A system according to any one of the preceding claims.
請求項9に記載のシステム。 The attack scenario display generation device is connected as the attack scenario display screen by the first network that the one object has, the determined attack content and the time when each of the two or more logs is generated. Outputting a display screen associated with the position of the corresponding information processing device in the object network configuration diagram showing the plurality of information processing devices;
The system of claim 9.
請求項9に記載のシステム。 The attack scenario display generation device generates, as the attack scenario display screen, time at which each of the two or more logs generates the determined attack content and an information processing device corresponding to each of the two or more logs. Output the display screen displayed in chronological order every time,
The system of claim 9.
前記1以上の物体を備え、
前記攻撃判定装置と前記1以上の物体とは、前記第2ネットワークで接続されている、
請求項1〜11のいずれか1項に記載のシステム。 further,
Said one or more objects,
The attack determination device and the one or more objects are connected by the second network,
A system according to any one of the preceding claims.
第1ネットワークとは異なる第2ネットワークを介して前記1以上の物体それぞれから取得されることにより、前記1以上の物体が有する複数の情報処理装置それぞれで発生したログを第1記憶装置に記憶する記憶ステップと、
前記1以上の物体が有する複数の情報処理装置それぞれに対する攻撃を判定するために用いられる解析支援情報であって前記複数の情報処理装置それぞれに関する解析支援情報を記憶する第2記憶装置から解析支援情報を抽出する抽出ステップと、
前記第1記憶装置が記憶する一の物体についての2以上のログと、前記抽出ステップにおいて抽出した解析支援情報であって前記一の物体が有する複数の情報処理装置に関する解析支援情報とを対照することで、前記2以上のログそれぞれが、前記2以上のログのそれぞれに対応する情報処理装置に対する攻撃であるか否かを判定し、判定結果を出力する判定ステップとを含む、
方法。 A security monitoring method for monitoring an attack on an information processing device of one or more objects having a plurality of information processing devices connected by a first network, comprising:
A log generated in each of a plurality of information processing apparatuses possessed by the one or more objects is stored in the first storage device by being acquired from each of the one or more objects via a second network different from the first network. Memory step,
Analysis support information from a second storage device storing analysis support information related to each of the plurality of information processing devices, which is analysis support information used to determine an attack on each of the plurality of information processing devices included in the one or more objects An extraction step of extracting
The two or more logs of one object stored in the first storage device are compared with the analysis support information extracted in the extraction step and related to a plurality of information processing apparatuses included in the one object. Determining whether each of the two or more logs is an attack on the information processing apparatus corresponding to each of the two or more logs, and outputting a determination result.
Method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017235894A JP2019102023A (en) | 2017-12-08 | 2017-12-08 | System and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017235894A JP2019102023A (en) | 2017-12-08 | 2017-12-08 | System and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019102023A true JP2019102023A (en) | 2019-06-24 |
Family
ID=66973883
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017235894A Pending JP2019102023A (en) | 2017-12-08 | 2017-12-08 | System and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019102023A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021079855A (en) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | Vehicle diagnosis device, vehicle diagnosis system, and movable body diagnosis device |
WO2021100721A1 (en) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | Illumination device and illumination system |
JP7230146B1 (en) | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Vehicle security analysis device, method and program thereof |
-
2017
- 2017-12-08 JP JP2017235894A patent/JP2019102023A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021079855A (en) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | Vehicle diagnosis device, vehicle diagnosis system, and movable body diagnosis device |
WO2021100721A1 (en) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | Illumination device and illumination system |
WO2021100720A1 (en) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | Vehicle diagnosing device, vehicle diagnosing system, and moving body diagnosing device |
JP7230146B1 (en) | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Vehicle security analysis device, method and program thereof |
WO2023048185A1 (en) * | 2021-09-24 | 2023-03-30 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Vehicle security analysis device, method, and program thereof |
JP2023046923A (en) * | 2021-09-24 | 2023-04-05 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Vehicle security analysis device, method, and program thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3084676B1 (en) | Secure vehicular data management with enhanced privacy | |
CN107924388B (en) | Universal sensor and/or sensor cluster for providing detection patterns | |
Lima et al. | Towards safe and secure autonomous and cooperative vehicle ecosystems | |
JP2019102023A (en) | System and method | |
JP2018144800A (en) | Detection of irregularity in linked cloud-edge vehicle | |
EP2781979B1 (en) | Real-time monitoring of vehicle | |
US9984512B2 (en) | Cooperative vehicle monitoring and anomaly detection | |
CN104025070A (en) | System and method for managing industrial processes | |
CN105425619B (en) | Method and system for generating multiple data reports in a vehicle | |
JPWO2019093098A1 (en) | Information processing equipment, mobile devices, and methods, and programs | |
JP2018194909A (en) | Information processing device and abnormality coping method | |
US20210349997A1 (en) | Anomalous vehicle detection server and anomalous vehicle detection method | |
WO2020208639A2 (en) | A system and method for detection of anomalous controller area network (can) messages | |
EP4209851A1 (en) | Control-mode switching device and control-mode switching method | |
JP7103427B2 (en) | Information processing equipment, data analysis methods and programs | |
US11689634B2 (en) | Optimizing size of protocol communication in a vehicle internal networks | |
Zou et al. | Cyber resilience of autonomous mobility systems: cyber-attacks and resilience-enhancing strategies | |
KR20190119514A (en) | On-board cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof | |
Katrakazas et al. | Cyber security and its impact on CAV safety: Overview, policy needs and challenges | |
Lamba et al. | To Classify Cyber-Security Threats in Automotive Doming Using Different Assessment Methodologies | |
JP2019074849A (en) | Drive data analyzer | |
US20190340850A1 (en) | Method and Terminal For Controlling the Establishment of a Vehicle Accident Report | |
US9274511B2 (en) | Failsafe operation of vehicle electronic control unit | |
WO2018135604A1 (en) | Extracting device, extracting method and storage medium, and abnormality detecting device and abnormality detecting method | |
JP6665503B2 (en) | Data collection system, data collection device and data collection method |